#ParsedReport #CompletenessLow
09-12-2025

Deceptive Layoff-Themed HR Email Distributes Remcos RAT Malware

https://www.seqrite.com/blog/deceptive-layoff-themed-hr-email-distributes-remcos-rat-malware/

Report completeness: Low

Threats:
Remcos_rat

Victims:
Corporate employees

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 2
Path: 2
Registry: 1
Hash: 3
IP: 1

Soft:
UNIX

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на сотрудников во время увольнений, использует обманчивые электронные письма для распространения троянца удаленного доступа Remcos (RAT) через RAR-архив, замаскированный под двойное расширение, Маскировку под PDF-документ. После запуска Remcos RAT выполняет Регистрацию нажатий клавиш, Захват экрана, мониторинг буфера обмена и устанавливает соединение для управления, обеспечивая при этом закрепление с помощью изменений реестра Windows. Атака использует социальную инженерию для получения первоначального доступа и методы уклонения, чтобы скрыть свои злонамеренные намерения.
-----

Недавно была выявлена кампания по фишингу, которая использует электронные письма на тему увольнений для распространения троянца удаленного доступа Remcos (RAT). Эти вводящие в заблуждение электронные письма часто выдаются за уведомления об увольнении или другие сообщения, связанные с персоналом, и наживаются на тревогах сотрудников во время сокращений рабочей силы. Эта тактика использует в своих интересах повышенный уровень стресса, повышая вероятность того, что люди непреднамеренно перейдут по Вредоносным ссылкам или вложениям.

Первоначальный вектор атаки включает в себя архив RAR, замаскированный соглашением об именовании с двойным расширением, таким как "pdf.rar ." Хотя оно напоминает PDF-документ, вложение содержит вредоносный исполняемый файл, скомпилированный NSIS (Nullsoft Scriptable Install System), предназначенный для имитации законного документа. При запуске Remcos RAT выполняет различные задачи инициализации и впоследствии участвует в нескольких вредоносных операциях.

Как только полезная нагрузка Remcos установлена, она порождает множество потоков, каждый из которых посвящен определенным функциям. К ним относятся Регистрация нажатий клавиш, Захват экрана, мониторинг буфера обмена и создание цикла обработки команд для поддержания постоянной связи со злоумышленником. RAT обходит меры безопасности, Маскировка под доброкачественный PDF-файл, используя формат упаковки NSIS, чтобы скрыть его истинное назначение.

Что касается закрепления, вредоносное ПО Remcos регистрируется в реестре Windows в расположении, позволяющем ему автоматически запускаться при запуске системы. Он также поддерживает сведения о конфигурации таким образом, что позволяет ему продолжать свою работу в разных сеансах. Кроме того, вредоносное ПО собирает информацию о хосте при запуске, включая идентификаторы пользователей и системные данные.

Тактика, используемая в этой кампании, согласуется с несколькими конкретными техниками, описанными в рамках MITRE ATT&CK. Первоначальный доступ получен с помощью вредоносной рассылки по электронной почте, использующей методы социальной инженерии. Выполнение полезной нагрузки зависит от взаимодействия с пользователем, в то время как методы обхода защиты включают маскировку исполняемых файлов и использование известных средств установки системы. Вредоносное ПО предназначено для закрепления на зараженных компьютерах и беспрепятственного выполнения операций по сбору данных, в конечном счете подключаясь к управляемому злоумышленником серверу управления.

#ParsedReport #CompletenessMedium
09-12-2025

EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks

https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Earth_lamia
Jackpot_panda
Unc5174
Lazarus
Colortoolsv2
Unc5342

Threats:
Etherrat
React2shell_vuln
Cobalt_strike_tool
Sliver_c2_tool
Vshell
Xmrig_miner
Etherhiding_technique
Beavertail
Credential_harvesting_technique
Invisibleferret
Supply_chain_technique
Log4shell_vuln

Victims:
Technology sector, Open source focused companies, Web application developers

Industry:
Financial

Geo:
China, North korean, Korea, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.003, T1059.004, T1071.001, T1102, T1105, T1140, T1190, T1546.004, have more...

IOCs:
File: 23
Coin: 2
IP: 1

Soft:
Linux, Node.js, curl, Systemd, crontab

Crypto:
ethereum

Algorithms:
base64, aes-256-cbc, aes, md5

Functions:
eval

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Имплантат EtherRAT, связанный с Северной Кореей, использует недавно раскрытую уязвимость CVE-2025-55182 в серверных компонентах React, позволяющую выполнять удаленный код без проверки подлинности. Он использует многоэтапную цепочку атак, которая начинается с команды оболочки в кодировке base64 для установления первоначального доступа и включает различные методы закрепления, такие как задания cron и измененные профили пользователей для поддержания доступа. EtherRAT также использует смарт-контракты Ethereum для своей инфраструктуры командования и контроля (C2), повышая уклончивость и адаптивность по сравнению с типичным вредоносным ПО.
-----

EtherRAT - это киберугроза, связанная с Северной Кореей, использующая уязвимость серверных компонентов React CVE-2025-55182, позволяющую выполнять удаленный код без проверки подлинности. Эта уязвимость затрагивает React версий 19.x и Next.js фреймворки 15.x и 16.x. EtherRAT - это имплантат постоянного доступа, в отличие от типичных майнеров криптовалют или вредоносного ПО для кражи учетных данных. Цепочка атак состоит из четырех этапов, начиная с команды оболочки в кодировке base64, которая выполняет эксплойт React2Shell. Он устанавливает закрепление с помощью сценария оболочки и использует запутанный JavaScript-дроппер для расшифровки своей полезной нагрузки с помощью шифрования AES-256-CBC. EtherRAT поддерживает свое присутствие с помощью пяти методов закрепления, включая Записи автозапуска XDG и модификации заданий cron. Его инфраструктура командования и контроля использует смарт-контракты Ethereum для разрешения URL-адресов вместо жестко закодированных адресов и выполняет команды на основе ответов сервера C2. Дизайн EtherRAT's позволяет загружать законные Node.js распределения за уклонение. Он демонстрирует сходство с действиями северокорейских и китайских злоумышленников, но выделяется благодаря своему вектору доставки и методам C2, основанным на блокчейне.

#ParsedReport #CompletenessMedium
08-12-2025

Chinese Malware Delivery Domains Part IV

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iv/

Report completeness: Medium

Threats:
Vmprotect_tool
Aspack_tool
Asprotect_tool
Mpress_tool

Victims:
Chinese speaking users

Industry:
Entertainment, Telco

Geo:
Hong kong, China, Chinese, Asia-pacific, Moscow, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1568, T1583, T1583.001, T1583.003, T1585, T1587, T1588, have more...

IOCs:
Domain: 60
Hash: 15
Url: 13

Soft:
Chrome, Telegram, WhatsApp, Youdao, Sogou, Google Chrome

Wallets:
imtoken

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, chart: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня 2023 года было выявлено большое скопление доменов доставки вредоносного ПО, связанных с китайскими злоумышленниками, в общей сложности более 4700 доменов. Их методы работы эволюционировали от централизованной модели к децентрализованной, уменьшая зависимость от отдельных интернет-провайдеров и повышая изощренность их тактики, включая использование больших загрузок файлов, которые препятствуют обнаружению. Кроме того, значительная часть инфраструктуры базируется в Китае, что отражает адаптацию стратегий операционной безопасности и локализации при одновременном использовании анализа, основанного на искусственном интеллекте, для расширения возможностей обнаружения.
-----

С июня 2023 года китайские злоумышленники управляют инфраструктурой доставки вредоносного ПО, в которой идентифицировано более 4700 доменов. К августу 2025 года инфраструктура перешла от централизованного хостинга к децентрализованному, что повысило операционную безопасность. Зависимость от одного интернет-провайдера снизилась с 90% до 40%, а инфраструктура теперь распределена по пяти странам. Количество используемых регистраторов увеличилось с трех до восьми. Проанализированные образцы вредоносного ПО показали загрузку больших файлов размером от 100 до 250 МБ, что затрудняло обнаружение. Регистрация доменов осуществляется нерегулярно, в соответствии с рабочими часами в Восточной Азии, со значительной активностью в праздничные дни в США. Массовая регистрация 16 октября привела к тому, что 69% доменов были созданы за один раз. 78,9% доменов связаны с .cn или .com.cn Используются исключительно TLD, более 38% из которых зарегистрированы через регистраторов на китайском языке, и местные DNS-провайдеры. Для анализа характеристик вредоносного ПО был внедрен рабочий процесс на базе искусственного интеллекта, который обработал 2000 доменов примерно за 10 часов. Злоумышленники усовершенствовали свою тактику, выдавая себя за популярные китайские приложения, что усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
09-12-2025

MetaRAT-based Attack Campaign Targeting Japanese Organizations

https://www.lac.co.jp/lacwatch/report/20251208_004569.html

Report completeness: High

Actors/Campaigns:
Red_delta
Calypso
Stone_panda
Winnti
Luoyu
Redfoxtrot
Webworm
Naikon
Cloudcomputating

Threats:
Metarat
Talisman
Plugx_rat
Shadowpad
Ratels
Antidebugging_technique
Keylogdump_tool
Dll_sideloading_technique
Rainyday
Turian
Timestomp_technique
Eagerbee
Littlelamb_wooltea
Pitsock
Pitfuel

Victims:
Shipping, Transportation, Subsidiaries, Japanese organizations

Industry:
Transport, Ics, Telco, Government

Geo:
Asia, China, Kazakhstan, Japanese, Chinese, Russian

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1055, T1056.001, T1071.001, T1095, T1106, T1140, T1190, T1218, have more...

IOCs:
File: 11
Hash: 18
Domain: 6
IP: 9

Soft:
Windows service, Ivanti, Active Directory

Algorithms:
aes-256-ecb, gzip, xor, lznt1, sha256, aes, rc4

Functions:
Code

Win API:
RtlDecompressBuffer, decompress

Languages:
c_language

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 12, windows: 3, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2025 года злоумышленники из Китая воспользовались уязвимостями в Ivanti Connect Secure (CVE-2024-21893 и CVE-2024-21887), чтобы атаковать японские судоходные компании, использующие различные варианты PlugX RAT, в частности MetaRAT и Talisman. MetaRAT, известный своим загрузчиком mytilus3.dll , использует шифрование AES и методы защиты от отладки для развертывания в памяти без обнаружения. Характеристики операции предполагают скоординированные усилия злоумышленников, что создает значительные риски для критически важной инфраструктуры.
-----

В ходе кампании атак, подтвержденной Центром по чрезвычайным ситуациям в киберпространстве Lack в апреле 2025 года, группа злоумышленников из Китая использовала уязвимости в Ivanti Connect Secure (ICS), в частности CVE-2024-21893 и CVE-2024-21887, для атаки на японские судоходные и транспортные компании. Злоумышленники использовали несколько вариантов троянца удаленного доступа PlugX (RAT), включая новые варианты, известные как MetaRAT и Talisman.

Первоначальное вторжение кампании было отмечено журналами критических ошибок, идентифицированными как "ERR31093", которые были сгенерированы, когда ICS обрабатывала вредоносные полезные нагрузки SAML. Кроме того, средство проверки целостности Ivanti обнаружило подозрительные файлы, имена которых совпадают с именами других известных вредоносных ПО, включая LITTLELAMB и WOOLTEA.

MetaRAT, идентифицирован как новый вариант PlugX, существует с по крайней мере 2022. Этот вариант характеризуется его использование загрузчика (mytilus3.dll), который является 32-разрядным DLL, которые расшифровывает и развертывает MetaRAT в памяти. Загрузчик использует передовые методы, такие как AES ключ развертывания и анти-отладки меры. В частности, если режим отладки обнаружил, ключ, используемый в процессе расшифровки уничтожены, чтобы предотвратить анализа.

Поток выполнения MetaRAT включает в себя командный код, который выполняет хэширование API для получения необходимых адресов функций Windows API. Зашифрованная полезная нагрузка, защищенная шифрованием AES-256-ECB, расшифровывается и распаковывается до того, как командный код выполнит вызовы функций экспорта MetaRAT. Примечательно, что полезная нагрузка вызывает связь с серверами командования и контроля (C2), используя несколько протоколов, таких как TCP, UDP, HTTP, HTTPS и ICMP.

Talisman, другой plugx PlugX, применяемых в этой акции, действует аналогично при загрузке оболочки-код с зашифрованной полезной нагрузки из каталога. Исследования показывают, что злоумышленник групп за MetaRAT и Talisman могут пересекаться, разделяя некоторые характеристики, в том числе аналогичные дорожки в файлы с указанием ПДБ скоординированной операции.

Меры по обнаружению и смягчению последствий для MetaRAT включают мониторинг определенных разделов реестра, создание служб и генерацию файла журнала ключей, типичных для действий RAT. Например, ключи реестра для механизмов автозапуска и наличие файлов, созданных плагином KeylogDump, могут помочь подтвердить активность вредоносного ПО. Коммуникационные и операционные схемы кампании также могут быть проанализированы с использованием существующих правил обнаружения, включая правила Sigma, разработанные специально для выявления подозрительных действий DLL, связанных с MetaRAT.

Подводя итог, кампания attack подчеркивает эволюционирующую природу вариантов PlugX и их продолжающееся использование организованными злоумышленниками, такими как Calypso и SpacePirates. MetaRAT, с его сложными функциями и механизмами уклонения от обнаружения, подчеркивает постоянную угрозу, которую представляют эти продвинутые киберпреступники для критически важной инфраструктуры Японии.

#ParsedReport #CompletenessMedium
09-12-2025

Threat Spotlight: Storm-0249 Moves from Mass Phishing to Precision EDR Exploitation

https://reliaquest.com/threat-spotlight-storm-0249-precision-endpoint-exploitation/

Report completeness: Medium

Actors/Campaigns:
Storm-0249 (motivation: cyber_criminal, financially_motivated)

Threats:
Dll_sideloading_technique
Lolbin_technique
Clickfix_technique
Lockbit
Blackcat
Spear-phishing_technique

Victims:
Enterprises, Edr platforms, Ransomware victims

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 3
Url: 1
Hash: 2
IP: 2

Soft:
curl, Windows Installer, Microsoft Defender, Windows Registry

Win Services:
SentinelAgent

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-0249 прошел путь от обычного фишинга до сложных методов постэксплуатации, нацеленных на уязвимости программного обеспечения для обнаружения конечных точек и реагирования на них (EDR). Они используют надежные процессы, в частности, превращая в оружие SentinelOne SentinelAgentWorker.exe , чтобы запутывать вредоносные действия и встраивать команды в законные операции по обеспечению безопасности, облегчая скрытую связь. Используя такие тактики, как DLL sideloading и выполнение без файлов, группа поддерживает закрепление и усложняет усилия по обнаружению, что делает их серьезной проблемой на нескольких платформах EDR.
-----

Storm-0249-это эволюционирующее злоумышленник, который был переведен из общей фишинг тактики на более сложный пост-эксплуатации методов, специально ориентированных на недостатки в конечную точку обнаружения и реагирования (EDR и) программного обеспечения. Эта группа, в частности, начали использовать надежные процессы, в том числе с использованием sentinelagentworker.exe SentinelOne, чтобы скрыть вредоносную активность, как и нормальной работы. Путем встраивания их команды и управление (С2) движения внутри легитимных процессов безопасности, злоумышленники могут избежать обнаружения и поддержания закрепление в скомпрометированной среде.

Группа внедрила новые стратегии, которые используют преимущества доверия, связанного с программным обеспечением безопасности. Например, манипулируя законным исполняемым файлом SentinelOne для скрытой загрузки своего вредоносного кода, Storm-0249 может маскировать свои действия под обычные операции безопасности, эффективно обходя традиционные средства защиты. Такой подход позволяет не только методов скрытного общения, но и позволяет выполнять разведка деятельности маскируются под законные задачи, используя надежные утилиты Windows, такие как reg.exe и findstr.exe.

Переход Storm-0249's к высокоточному таргетингу означает переход от методов фишинга, основанных на объемах, к усовершенствованным методам атаки, которые используют доверенные процессы с помощью таких механизмов, как дополнительная загрузка библиотеки динамических ссылок (DLL) и выполнение без файлов. Эти методы особенно опасны, поскольку они легко интегрируют вредоносные действия в ожидаемые процессы, что усложняет усилия по обнаружению. Закрепление группы за счет использования пакетов MSI с системными привилегиями гарантирует, что их позиции сохранятся даже при стандартных мерах по исправлению, таких как обычная переустановка программного обеспечения или исправления.

Кроме того, методы, используемые Storm-0249, включая те, которые включают DLL sideloading, не ограничиваются продуктами SentinelOne, что делает их актуальными для различных платформ EDR. Такая адаптивность позволяет Storm-0249 продавать предварительный доступ аффилированным лицам программ-вымогателей, упрощая развертывание программ-вымогателей и усугубляя распространение атак в различных секторах.

Учитывая изощренность этих тактик, организациям настоятельно рекомендуется усовершенствовать свои защитные стратегии, переключив внимание с традиционного обнаружения на основе сигнатур на поведенческую аналитику. Выявляя аномалии, такие как неправильное использование законных исполняемых файлов или необычное выполнение команд, организации могут превентивно устранять такие угрозы. Службы безопасности должны уделять приоритетное внимание механизмам видимости и быстрого реагирования, чтобы противостоять передовым методам, используемым злоумышленниками, такими как Storm-0249.

#ParsedReport #CompletenessLow
09-12-2025

New eBPF Filters for Symbiote and BPFdoor Malware

https://www.fortinet.com/blog/threat-research/new-ebpf-filters-for-symbiote-and-bpfdoor-malware

Report completeness: Low

Threats:
Symbiote
Bpfdoor
Bvp47
Ebpfkit
Triplecross
Timestomp_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040

IOCs:
File: 2
Hash: 2

Soft:
Linux, Claude

Algorithms:
rc4

Platforms:
x86, arm

Links:
https://github.com/radareorg/radare2-mcp
https://github.com/radareorg/radare2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году семейства вредоносных ПО, такие как Symbiote и BPFDoor, усовершенствовали свою тактику обхода с использованием технологий eBPF, усложнив анализ за счет более интеллектуальных методов фильтрации. Эти руткиты часто используют Нестандартные порты для передачи команд и контроля, используя пробелы в традиционных средствах безопасности. Кроме того, появилось множество вариантов BPFDoor, причем в этом году было обнаружено заметное увеличение количества образцов, что вызывает вопросы о потенциальных новых функциональных возможностях в их дизайне.
-----

В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило развитие, особенно в таких семействах, как Symbiote и BPFDoor. Эти руткиты внедрили более интеллектуальные методы фильтрации, чтобы избежать обнаружения, что значительно усложняет их анализ. Архитектура набора команд eBPF упрощает определенные процессы, но создает дополнительные проблемы для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны различные инструменты, такие как bpftool и движок Capstone, необходимость понимания конкретной архитектуры может препятствовать эффективному анализу.

Передача команд и контрольных данных (C2) этих типов вредоносного ПО часто осуществляется через Нестандартные порты. Эта тактика распространена среди ботнет и использует тенденцию обычных средств безопасности — таких как базовые брандмауэры и системы обнаружения/предотвращения вторжений — сосредотачивать свои проверки главным образом на стандартных портах, таких как HTTP. Следовательно, вредоносный трафик, связанный с Symbiote, часто упускается из виду, поскольку эти инструменты могут регистрировать минимальную активность, а предупреждения обычно ограничиваются уведомлениями о "неизвестном порту", которые можно легко отклонить как доброкачественные.

В рамках платформы BPF были достигнуты заметные успехи, включая добавление поддержки IPv6 в BPFDoor. Это наблюдалось в конкретном образце, где фильтр BPF применялся к необработанному сокету, что свидетельствует об изменении возможностей, которые используют авторы вредоносного ПО. Более того, появление вариантов BPFDoor было значительным: с момента его создания в 2021 году было обнаружено 240 образцов, из которых 150 были отмечены только в 2025 году. Характеристики этих вариантов вызвали интерес к тому, представляют ли они собой просто постепенные изменения или вводят существенные новые функциональные возможности.

#ParsedReport #CompletenessLow
09-12-2025

Lumma Stealer: Danger lurking in fake game updates from itch.io and Patreon

https://www.gdatasoftware.com/blog/2025/12/38310-lumma-stealer-itchio-patreon

Report completeness: Low

Threats:
Lumma_stealer

Victims:
Gaming users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1105, T1199, T1204.002, T1497.001, T1566.002, T1659

IOCs:
File: 88
Command: 1
Hash: 5

Soft:
Steam, Node.js, burpsuite, virtualbox, hyper-v, qemu, BlockBlasters

Algorithms:
base64, sha256

Languages:
powershell, javascript

Links:
have more...
https://github.com/nexe/nexe
https://github.com/unex/nexeDecompiler